咨詢熱線:
400-0909-166Q1.什么是等級保護?
答:等級保護是指對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
Q2. 什么是等級保護2.0?
答:“等級保護2.0”或“等保2.0”是一個約定俗成的說法,指按新的等級保護標準規范開展工作的統稱。通常認為是《中華人民共和國網絡安全法》頒布實行后提出,以2019年12月1日,網絡安全等級保護基本要求、測評要求和設計技術要求更新發布新版本為象征性標志。
Q3. “等保”與“分保”有什么區別?
答:指等級保護與分級保護,主要不同在監管部門、適用對象、分類等級等方面。
監管部門不一樣,等級保護由公安部門監管,分級保護由國家保密局監管。
適用對象不一樣,等級保護適用非涉密系統,分級保護適用于涉及國家密秘系統。
等級分類不同,等級保護分5個級別:一級(自主保護)、二級(指導保護)、三級(監督保護)、四級(強制保護)、五級(專控保護);分級保護分3個級別:秘密級、機密級、絕密級。
Q4.等保”與“關保”有什么區別?
答:指等級保護與關鍵信息基礎設施保護,“關保”是在網絡安全等級保護制度的基礎上,實行重點保護。《中華人民共和國網絡安全法》第三章第二節規定了關鍵信息基礎設施的運行安全,包括關鍵信息基礎設施的范圍、保護的主要內容等。目前《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》正在報批中,相關試點工作已啟動。
Q5.什么是等級保護測評?
答:指測評機構依據國家信息安全等級保護制度規定,按照有關管理規范和技術標準,對非涉及國家秘密網絡安全等級保護狀況進行檢測評估的活動。
Q6.等級保護是否是強制性的,可以不做嗎?
答:《中華人民共和國網絡安全法》第二十一條規定網絡運營者應當按照網絡安全等級保護制度的要求,履行相關的安全保護義務。同時第七十六條定義了網絡運營者是指網絡的所有者、管理者和網絡服務提供者。
等級保護相關標準雖然為非強制性的推薦標準,但網絡(個人與家庭網絡除外)運營者必須按網絡安全法開展等級保護工作。
Q7.做等級保護要多少錢?
答:開展等級保護工作會包含:針對業務系統開展測評的費用,以及按等級保護要求開發、購買或部署安全防護產品成本,開展安全日常運維等人力成本。總體投入的費用與網絡運營者對等級保護測評結果分數的預期,以及業務系統安全防護能力建設與整改的情況而定,相應的費用投入會差距很大。為避免盲目投入這個誤區,建議咨詢專業安全服務咨詢機構制訂最高性價比的解決方案來滿足合規要求又達到業務系統安全保障要求。
Q8.等級保護測評多久做一次?
答:《信息安全等級保護管理辦法》公通字[2007]43號中,關于系統測評時間有明確規定,三級信息系統明確規定每年測評一次,四級信息系統每半年測評一次,第五級信息系統應當依據特殊安全需求進行自查。
《內蒙古自治區計算機信息系統安全保護辦法》(內蒙古自治區主席令第183號)規定:
第六條 計算機信息系統運營、使用單位應當遵守下列規定:
(二)新建計算機信息系統的,應當在規劃、設計階段確定安全保護等級,同步建設符合該安全保護等級要求的信息系統安全保護設施,落實安全保護措施;
(五)定期對本單位計算機信息系統的安全狀況、保護制度和措施進行自查和整改;
第九條 第二級以上計算機信息系統建設完成后,經測評合格方可投入使用。
第十條 計算機信息系統確定為第二級保護等級的,應當每兩年至少進行一次系統安全等級測評;確定為第三級的,應當每年至少進行一次系統安全等級測評;確定為第四級以上的,應當每半年至少進行一次系統安全等級測評。
Q9.是否系統定級越低越好?
答:不是。可根據實際業務系統的情況參照定級標準進行定級,采用“定級過低不允許、定級過高不可取”的原則。當出現網絡安全事件進行追責的時候,如因系統定級過低,需承擔系統定級不合理、安全責任沒有履行到位的風險。
Q10.定級備案了是否就被監管了?
答:沒有定級備案并不代表不需被監管,應盡快履行網絡運營者的安全責任進行備案。定級備案后監管部門會在重要時候開展安全檢查或發布一些針對性的安全預警,有利于網絡運營者開展網絡安全工作降低風險。
蒙公網安備15010202151584
